我们目前正在使用一个自定义登录系统,在一个站点上设置数据库中的哈希,然后当用户在域和子域之间进行传输时,它会将其记录下来。它并不总是记录用户,因此他们点击登录链接/按钮,它会将他们带到登录页面,如果他们有会话,则会加载它,否则会显示登录页面。
我们希望摆脱这种局面并使用更好的东西。有了php session_set_cookie_params,我们想知道这是安全吗?
session_set_cookie_params(3600, "/", ".example.com");
如果这不是跨多个域使用会话的好方法,那么哪个更好?
我们还有一些使用自己的登录系统的子域,同一个用户在该系统上有不同的用户名/密码,这是/这是一个问题吗?我们认为,两个不同的人可能有相同的会话ID将两个不同的人记录到同一个帐户,因为他们管理自己的会话。
答案 0 :(得分:1)
这是一种很好的方法,但是您必须考虑,如果您想要在同一会话中涉及的所有域/子域不在同一服务器上或驻留在不同的应用程序中,那么您需要提供一些常见的后端会话存储所有应用程序都可以访问会话数据的机制。
就处理多个登录而言,您可能需要一种逻辑方式将登录链接在一起,以便您可以了解一次登录下的有效会话可以转移到另一个域上的另一个登录。这实际上是您最大的安全问题,应该通过实施单一登录机制来解决这个问题。